Home » News » Cybersecurity » Fake-Google-Update entpuppt sich als Ransomware

Fake-Google-Update entpuppt sich als Ransomware

Angreifer missbrauchen bei ihren Attacken häufig das Vertrauen von Nutzern, um die Schutzmaßnahmen von Unternehmen zu umgehen. Eine neue Ransomware namens HavanaCrypt ist auf dem Vormarsch. Das Gefährliche: Sie tarnt sich als Fake-Google-Update und versteckt sich in Microsoft Webhosting als Command-and-Control-Server.

2 Min. Lesezeit
Foto: ©AdobeStock/Greentech

Eine neue Ransomware namens HavanaCrypt ist auf dem Vormarsch. Das Gefährliche: Sie tarnt sich als Fake-Google-Update und versteckt sich in Microsoft Webhosting als Command-and-Control-Server. Damit ist sie für viele Security-Tools nicht zu erkennen.

Angreifer missbrauchen bei ihren Attacken häufig das Vertrauen von Nutzern, um die Schutzmaßnahmen von Unternehmen zu umgehen. Die Verwendung von vertrauenswürdigen Adressräumen und Hosts, die von den meisten Unternehmen als seriös und sicher eingestuft werden und auf der Whitelist stehen, ist also nicht neu. Cyberkriminelle nutzen zum Beispiel AWS-Hosting oder kapern andere „saubere“ Hosts oder Adressräume. Doch es sind nicht nur vertrauenswürdige Adressen, die für Ransomware-Angriffe missbraucht werden, sondern auch allgemein als vertrauenswürdig eingestufte Tools und Anwendungen, die in vielen Unternehmen zum Einsatz kommen.

„Entsprechend haben herkömmliche Detection- und Defense-Maßnahmen, die auf statischen Indikatoren und Signaturen beruhen oder bestimmte Adressräume, Anwendungen, Nutzer oder Prozesse als vertrauenswürdig einstufen, schon vor langer Zeit versagt. Stattdessen sollte die Cyberabwehr von Unternehmen auf der Erkennung von Verhaltensmustern basieren, die auf den tatsächlichen TTPs (Tactics, Techniques, Procedures) der Angreifer beruhen. Man sollte sich nicht auf ein einziges Sicherheitstool verlassen oder auf einen Ansatz, der bestimmte Systemelemente automatisch als vertrauenswürdig oder nicht vertrauenswürdig einstuft. Die Bedrohungsabwehr muss genau auf die tatsächlichen Vorgehensweisen der Angreifer abgestimmt werden. Das erfordert kontinuierliche Forschung und Weiterentwicklung, da sich diese bei der Vielzahl möglicher Angriffe fast täglich ändern. All das muss bei Sicherheitsmaßnahmen bedacht werden“, erklärt Daniel Thanos, VP, Arctic Wolf Labs.

„Es ist sehr wahrscheinlich, dass der Autor der HavanaCrypt-Ransomware plant, über den TOR-Browser zu kommunizieren, da TOR zu den Verzeichnissen gehört, in denen er die Verschlüsselung von Dateien verhindert. Aktuell hinterlässt HavanaCrypt keine Lösegeldforderung, was ein Hinweis darauf sein könnte, dass sie sich noch in der Entwicklungsphase befindet. Wenn sie sich tatsächlich noch in der Beta-Phase befindet, sollten Unternehmen die Chance nutzen, sich darauf vorzubereiten. Für den Fall, dass TOR verwendet wird, sollte der Browser blockiert werden – in den meisten Unternehmen wird TOR ohnehin nicht gebraucht“, so Daniel Thanos.

 

Bisherige Erkenntnisse über HavanaCrypt:

  1. Tarnt sich als Google-Software-Update-Anwendung
  2. Verwendet Microsoft Webhosting als Command-and-Control-Server, um die Detection zu umgehen
  3. Nutzt die QueueUserWorkItem-Funktion, eine Methode des .NET System.Threading Namespace. Außerdem verwendet die Ransomware die Module von KeePass Password Safe, einem Open-Source-Passwortmanager, während der Dateiverschlüsselung.
  4. Ist eine .NET-kompilierte Anwendung und wird durch Obfuscar geschützt, einen Open-Source-.NET-Obfuscator, der den Code in einer .NET-Assembly schützt.
  5. Verfügt über mehrere Anti-Virtualisierungstechniken, um eine dynamische Analyse zu vermeiden, wenn sie in einer virtuellen Maschine ausgeführt wird.
  6. Nachdem HavanaCrypt sich vergewissert hat, dass der Computer des Opfers nicht in einer virtuellen Maschine ausgeführt wird, lädt die Ransomware eine Datei mit dem Namen „2.txt“ von 20[.]227[.]128[.]33, einer IP-Adresse eines Microsoft-Webhosting-Dienstes, herunter und speichert sie als Batch-Datei (.bat) mit einem Dateinamen, der 20 bis 25 zufällige Zeichen enthält.
  7. Verwendet während seiner Verschlüsselungsroutine Module von KeePass Password Safe. Insbesondere nutzt sie die Funktion CryptoRandom, um Zufallsschlüssel zu erzeugen, die für die Verschlüsselung benötigt werden.
  8. Verschlüsselt Dateien und fügt „.Havana“ als Dateinamenerweiterung hinzu.

 

Andere interessante News

Wie Cyberkriminelle ChatGPT für sich nutzen

Allgemein zugängliche KI-Tools (Künstliche Intelligenz) wirkten bislang oft noch eher unbeholfen. Mit dem OpenAI ChatGPT Chatbot scheint sich das gerade zu ändern. Die Qualität der damit erzeugten Texte erstaunt die gesamte Internet-Community. Das weckt auch bei Cyberkriminellen Begehrlichkeiten. Die Kombi aus freier Zugänglichkeit solcher Tools und krimineller Energie stellt die Cybersicherheit vor völlig neue Herausforderungen.

Statement: Warum Netzwerkresilienz heute ein absolutes Muss ist

Ein modernes, resilientes Netzwerk ist das Herzstück der IT. Ohne die entsprechenden Systeme und Lösungen gebe es keine intelligenten Fertigungsanlagen, keine hybriden Arbeitsumgebungen und keine virtuellen Welten. Dennoch steht Netzwerkresilienz bei den Prioritäten von Unternehmen viel zu weit unten. So sieht es jedenfalls Dirk Schuma, Sales Manager Europe bei Opengear. Er erklärt, warum dieser Zustand heute untragbar ist, und was Unternehmen für die Verbesserung der Netzwerkresilienz tun können.

Kommentar: Was die neue NIS-2-Richtlinie für Unternehmen bedeutet

Im nächsten Jahr soll die zweite Version der Richtlinie zum Schutz von Netzwerk- und Informationssystemen (NIS) scharf gestellt werden, die Unternehmen verstärkt in die Pflicht nimmt. Sie wurde Ende 2022 im Amtsblatt L333 der Europäischen Union veröffentlicht und ist bereits in Kraft.